Polityka i prawo
Bezpieczeństwo rządowych maili. Znamy aktualną listę zaleceń
W 2021 roku głośnym echem odbił się wyciek maili Michała Dworczyka, ówczesnego szefa KPRM. Wyszło wtedy na jaw, że wielu ministrów korzystało z prywatnych skrzynek mailowych, założonych m.in. na serwerach Wirtualnej Polski czy Gmailu. Jakie są obecne standardy bezpieczeństwa rządowych skrzynek mailowych? Zapytaliśmy o to resort cyfryzacji.
Korzystanie z prywatnej skrzynki mailowej do wymiany służbowej korespondencji jest bardzo nierozsądne. Prywatne skrzynki mailowe nie mogą być chronione przez odpowiednie służby. Wyciek maili udostępniony przez kanał „Poufna Rozmowa” pokazał, że wielu ministrów nie używało służbowych e-maili do wymiany informacji istotnych z punktu widzenia bezpieczeństwa państwa.
Zastanawiające jest również korzystanie ze skrzynki [email protected] oraz używanie skrzynki założonej na Google przez ówczesnego premiera. Interpelacja nr 24926 stwierdza, że wyciek naraził na zagrożenie życia osobę współpracującą z Agencją Wywiadu lub Służbą Wywiadu Wojskowego. Poufność korespondencji jest kluczowa dla bezpieczeństwa Polski, dlatego zapytaliśmy Ministerstwo Cyfryzacji o podejmowane działania.
Czytaj też
Standardy bezpieczeństwa
Zapytaliśmy resort o to, jakie kroki podejmuje w celu zapewnienia należytych standardów bezpieczeństwa ministerialnych oraz rządowych skrzynek e-mailowych. Zapewniono nas, że: „Podmiot publiczny musi zapewnić osobom, dla których realizuje zadania publiczne, informacje, które pomogą im zrozumieć zagrożenia związane z cyberbezpieczeństwem oraz nauczą, jak się przed nimi chronić. Te informacje powinny być dostępne na stronie internetowej podmiotu.” Obowiązki operatorów usług kluczowych zostały opisane w art. 8 ustawy z dnia 5 lipca 2018 r. o krajowym systemie cyberbezpieczeństwa.
Nowelizacja ustawy o KSC oraz NIS2
Procedowany projekt nowelizacji ustawy o krajowym systemie cyberbezpieczeństwa ma na celu m.in. dostosowanie polskiego prawa do unijnej dyrektywy NIS2. Przepisy sprawią, że podmioty klasyfikowane jako „Administracja publiczna” staną się podmiotami kluczowymi, co wiąże się także z nowymi obowiązkami. Ministerstwo przekazało nam, że administracja publiczna będzie objęta szczegółowym nadzorem przez organy odpowiedzialne za cyberbezpieczeństwo. Należy również dodać, że nadzór będzie prewencyjny (przed incydentem) oraz następczy (po incydencie).
Czytaj też
Wymogi dla dostawców poczty elektronicznej
Ustawa o zwalczaniu nadużyć w komunikacji elektronicznej stwierdza, że dostawcy poczty elektronicznej dla podmiotu publicznego muszą wykorzystywać mechanizmy SPF, DKIM oraz DMARC. Wymagane jest również stosowanie mechanizmów uwierzytelniania wieloskładnikowego. Powyższe zapisy ustawy należy ocenić jako słuszne i potrzebne.
Szkolenia dla polityków
Od 2021 roku wraz z NASK prowadzone są szkolenia SecureV, które mówią o tym jak dbać o cyberbezpieczeństwo.
„Początkowo projekt „SecureV” obejmował tylko najważniejszych polityków i parlamentarzystów. W związku z rosnącym zainteresowaniem i zmianami w cyberprzestrzeni, kolejne edycje projektu obejmują coraz więcej osób. Od 2023 roku szkolenia są dostępne w całym kraju. Uczestniczą w nich parlamentarzyści, pracownicy administracji centralnej i samorządowej, w tym kadra kierownicza, oraz pracownicy Podstawowej Opieki Zdrowotnej” – przekazało nam ministerstwo.
Każdy członek rządu może skorzystać z tych szkoleń, zapisy są dobrowolne. Dotarliśmy również do informacji, że każda przeszkolona osoba otrzymuje „narzędzia do silnego uwierzytelniania”.
Czytaj też
„Komunikator" i informacje niejawne
W 2022 roku Ministerstwo Cyfryzacji uruchomiło aplikację „Komunikator”, która ma służyć do bezpiecznej komunikacji rządowej i KSC. Zgodnie z zapewnieniami ministerstwa aplikacja stosuje szyfrowanie end-to-end oraz zgodność z ISO 27001, rodziną ISO 27000, OWASP Top 10, normami ochrony danych osobowych oraz „najlepszymi praktykami Ministerstwa Cyfryzacji”.
Informacje niejawne przetwarzane w administracji publicznej wykorzystują system SKR-Z opracowany przez NASK.
Rekomendacje CERT Polska
CERT Polska stworzył zestaw zaleceń dotyczących bezpiecznego wykorzystywania poczty elektronicznej. Dokument mówi wprost o konieczności oddzielania prywatnych i służbowych kont.
Warto dodać, że wśród zaleceń znajduje się m.in. korzystanie z Signala do prywatnej korespondencji. Obecnie wśród rekomendacji nie ma już korzystania z prywatnego dostawcy VPN, o których informowała Zaufana Trzecia Strona w 2021 roku. Wśród dzisiejszych wskazań można przeczytać: „VPN nie chroni przed atakami phishingowymi i złośliwym oprogramowaniem”.
Cykliczna zmiana haseł nie jest zalecana od 2019 roku, o czym również informuje CERT Polska.
Czytaj też
Prywatne skrzynki mailowe
Ministerstwo na pytanie dotyczące możliwości wykrywania korzystania z prywatnych skrzynek pocztowych przekazało nam następujące stanowisko:
”Można wykryć takie działania, gdy skorzysta się z logów systemów pocztowych w organizacji, gdzie te osoby pracują. Organizacja może monitorować skrzynki służbowe (w zależności od wprowadzonych rozwiązań), co pozwala obserwować, czy ktoś przesyła wiadomości między służbową a prywatną skrzynką. Czasami jednak trudno jest zidentyfikować prywatną skrzynkę, np. ze względu na nazwę konta. Można także zauważyć, czy ktoś przekierowuje całą korespondencję lub jej dużą część na zewnętrzny adres e-mail. Monitoring taki powinien obejmować wszystkich użytkowników poczty elektronicznej w organizacji.
Można również wykryć to, czy ktoś korzysta ze swojej prywatnej skrzynki do tego, by kontaktować się z innymi osobami w organizacji lub poza nią. Osoba, która otrzyma taką korespondencję, może zgłosić to jako incydent.
Dodatkowo, administrator w danej organizacji może zablokować dostęp do komercyjnych dostawców usług poczty elektronicznej z urządzeń służbowych.
Jeśli jednak użytkownik korzysta z prywatnego urządzenia i prywatnej skrzynki pocztowej, by prowadzić służbową korespondencję z osobami spoza organizacji, nie da się wykryć takiego działania. Dlatego ważne jest, aby szkolić użytkowników i zwiększać ich świadomość na temat cyberzagrożeń oraz konsekwencji takich działań.”
Pozostaje mieć nadzieję, że przepisy oraz dobre praktyki są respektowane przez osoby pracujące w administracji publicznej.
Czytaj też
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].